¿Qué noticias falsas en RGPD y qué creencias sobre protección de datos pueden destrozar tu reputación?
Esto es de lo que te voy a hablar en este artículo pero primero, una introducción.
El 25 de mayo de 2018 supuso un gran impacto en el mundo digital: la llegada del RGPD (Reglamento Europeo de Protección de datos) que sacudió los cimientos del marketing digital al transformar las reglas en el tratamiento de la información personal y generar una nueva dimensión del consentimiento en el tratamiento de datos con fines comerciales.
Algunos se percataron de que tratar datos personales de otros supone responsabilidades y obligaciones y decidieron realizar cambios sustanciales en sus estrategias para adaptarse a la normativa, otros, simplemente, agobiados por el pavor sancionador decidieron acometer cambios más bien cosméticos y actualizar sus textos y políticas en sus páginas webs, si hay incumplimiento, al menos que no se note.
Durante todo este tiempo, han surgido toda una suerte de mitos, noticias falsas y verdades a medias relacionadas con la aplicación del RGPD que han circulado como la pólvora por las redes y que generan toda clase de incumplimientos y riesgos sancionadores.
Con este post, espero dejarlos al descubierto y que no caigas en engaños que pueden ser muy costosos a nivel legal, reputacional y económico.
El poder de la oportunidad y la mentira en el RGPD
En España, la protección de datos es un tema casi marginal para muchos e inexistente para otros.
La burbuja RGPD duró lo que le duran los amores prepúberes, así lo explicaba en mi último post para Semrush al referirme a la anarquía bloguera.
El caso es que las prisas nunca han sido buenas consejeras y, entre tanto desespero por tener todo solucionado ante el temido 25M, tanto discurso apocalíptico y tanto opinólogo oportunista, se crearon toda clase de mitos, noticias falsas y bulos de cuidado que crearon un escenario de confusión que es preciso remediar.
Autónomos, empresas, instituciones o blogueros, entre otros, se vieron expuestos a toda clase de informaciones contradictorias y noticias falsas.
Oportunistas del miedo y de la anarquía se disputaban los titulares con igual esmero, cada maestrito con su librito pero, ¿a quién creer?
Por otra parte, si somos honestos, a la hora de establecer nuestro peculiar sistema de creencias, “la versión más cómoda a mis intereses es la correcta”, es lo que dio origen a muchas versiones del RGPD alternativas que gozaron de gran aceptación entre los tertulianos.
Si un señor con mucha audiencia que se dedica al marketing dice que no hay que regular los consentimientos porque lo leyó a saber dónde y un consultor especializado en protección de datos dice lo contrario, es muy posible que la versión del marketero tenga mucha más credibilidad que la del consultor, por la premisa que planteo al inicio.
Y así ocurrió, muchos profesionales y empresas dieron toda la credibilidad a los alegatos de cuñado en forma de noticias, vertidos por las redes.
Estos alegatos unidos a ejemplos poco esclarecedores del cumplimiento crearon versiones muy sui géneris del RGPD con las que los consultores tuvimos que batallar sin descanso.
Noticias falsas en RGPD: los riesgos y consecuencias de asumirlas como ciertas
Lo que sigue es una recopilación personal de los principales mensajes que recibí durante este tiempo por parte de clientes aturullados y confusos que he tenido que clarificar de manera continua y reiterada.
Si eres de lo que todavía no se aclara, aquí encontrarás gran parte de las respuestas.
-
Mientras informe a mi lista es suficiente, no es necesario volver a pedir el consentimiento
El consentimiento ha sido el punto más crítico para las empresas y profesionales, el más polémico y el que generó mayores mitos y falsas creencias.
Es lógico, este cambio legislativo impone un enorme quebradero de cabeza.
El RGPD impone la necesidad de acreditar una base legal que legitime el tratamiento y en el caso de personas vinculadas con nuestra marca que no son clientes, esa base legal no puede ser otra que no sea el consentimiento.
También hubo empresas que se pasaron de frenada y pidieron el consentimiento cuando no lo necesitaban, como las que mandaron correos de revalidación a listas de clientes pero, en general, la mayoría prefirió sólo informar o utilizar fórmulas erróneas de requerir el consentimiento.
-
En el mundo blogging, las listas de suscriptores son sagradas "The Money Is In The List"
Cuesta muchísimo esfuerzo construir una comunidad y el RGPD nos impone revalidar el consentimiento de cada uno de esos leads, esto implica una auténtica escabechina nada sencilla de digerir pero, aunque no nos guste nada, lo cierto es que cada lead del que no podamos acreditar el consentimiento se convierte en un auténtico “lead granada” que puede estallar en cualquier momento.
Sabemos que el consentimiento “es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”
Sabemos también que el RGPD le da otra dimensión al consentimiento que afecta no solo a los registros que vayamos a captar a partir del 25M, sino a todo tratamiento previo y, por tanto, a todos los registros que tengamos en nuestras listas y en donde no podamos establecer otra base legal para el tratamiento, como el interés legítimo o la relación contractual.
Vamos, que un suscriptor que no sea cliente debe darnos su consentimiento, no hay matices.
Enviar un correo informativo es totalmente ineficaz a la hora de acreditar el consentimiento válido del usuario según estos nuevos requisitos.
Muchas campañas que se lanzaron a granel en el último tiempo se han amparado en esta falsa creencia y otras han tirado de picaresca:
“Si no te das de baja, doy por hecho que aceptas seguir en mi lista” es lo que conocemos por consentimiento por omisión, algo que se prohíbe de manera manifiesta en el propio reglamento en su Considerando 32.
El GDPR dice lo siguiente acerca de la declaración o acto afirmativo claro: «podría incluir marcar una casilla de un sitio web en Internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales» de manera que «el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento».
Este es uno de los mayores errores cometidos y por cometer respecto a la regularización del consentimiento, no obtener una prueba válida para acreditar ese consentimiento.
Por otra parte, al definir como condición que sea especifico, las finalidades del tratamiento de datos deben aparecer de manera diferenciada en el momento de recabar el consentimiento y no pueden ampliarse una vez que el sujeto ha consentido la recogida y el tratamiento de sus datos.
Esto genera también la necesidad de un consentimiento granular, es decir, una casilla asociada a cada finalidad.
-
No es obligatorio el uso de un check box de confirmación en todos los formularios, mientras exista un sistema de doble opt-in
Esta pregunta la he respondido unas 698 veces según marca el contador.
Se confunde la misión del doble-opt in con la misión del check box de consentimiento, y parecido no es lo mismo señores míos.
El doble opt-in es un sistema de autenticación que certifica la identidad del usuario e impide la usurpación de identidades y suscripciones fraudulentas.
Por otra parte, el consentimiento exige que sea previo al tratamiento y el doble opt-in implica ya un tratamiento desde el momento en que mi servidor recaba esos datos y envía un correo de validación.
El check box por su parte, condiciona el tratamiento a la aceptación, es decir, hasta que el usuario no haga clic en la casilla, no es posible recabar datos y, por tanto, garantiza un consentimiento previo asociado a una información.
Lo que debemos tener claro es que el doble opt-in complementa el opt in de aceptación.
Por otra parte, el consentimiento debe ser acreditable y debemos poder acreditar y documentar lo siguiente:
- Quién otorgó su consentimiento: Se debe poder identificar al titular de los datos por su nombre u otros elementos que puedan identificarle.
- Cuándo y cómo se otorgó el consentimiento, es necesario obtenerlo con un sello de tiempo y de manera que podamos garantizar que no ha sido alterado ni manipulado manualmente.
- Qué información recibió la persona que consintió: Para cumplir con la exigencia que establece el GDPR de más información se recomienda implantar un modelo de información por capas o niveles.
Todo esto debe acreditar el consentimiento y, por tanto, el doble opt-in no puede sustituir al check box.
Por mucho que nos pese, no hay trucos ni atajos porque el consentimiento debe ser acreditable, a menos que tengas una relación comercial con las personas de tu lista y puedas utilizar como base legal el interés legítimo.
-
El RGPD sólo afecta a empresas de la Unión Europea
Pues no, el RGPD es de aplicación extraterritorial a todas las empresas y sitios web que operen en Europa, es decir, que traten datos de ciudadanos europeos, sin importar dónde esté inscrita la sociedad mercantil o dónde se encuentren los servidores.
Ya se habla del posible bloqueo europeo a los sitios web que incumplan el reglamento desde el exterior, y se establecerá un importante comité europeo compuesto por representantes de las autoridades nacionales de protección de datos.
Y otra de las noticias falsas y más disparatadas asociadas a esta falda creencia es la siguiente: "Sólo los dominios acabamos en ".es " tienen que cumplir el RGPD".
Qué conveniente oiga, es decir, que si tu dominio es fr. o it, aunque estén es la unión europea, están exentos de cumplimiento, qué puntazo.
Lo mismo si tienes un dominio .com, como es mi caso, yo no estaría obligada.
Como explicar lo absurdo me da dolor de cabeza, creo que basta con decir que es de las cosas más demenciales y ridículas que he leído en relación al RGPD.
-
El RGPD me obliga a informar de mis datos personales si tengo una web, antes no era necesario
Otra falsa noticia que se ha repetido de forma recurrente y que parte de otra falsa creencia.
Es cierto que el RGPD establece entre los derechos del interesado el de transparencia de la información.
El responsable tiene la obligación de informar a los interesados sobre aspectos fundamentales que afectan al tratamiento de su información, como su identidad, datos de contacto, fines del tratamiento, intereses legítimos del responsable, plazo de conservación de los datos, y también, acerca de los “destinatarios” o de las “categorías de destinatarios” de sus datos personales.
Sin embargo, la LOPD ya incluía la necesidad de informar a los interesados de la identidad del responsable de la información y, por tanto, no es que sea algo nuevo.
Es comprensible que muchos profesionales se sientan incómodos al tener que exponer datos que afectan a su identidad, como su nombre y apellidos, DNI, dirección, etc., pero debemos considerar que el espíritu del reglamento es defender los intereses de los ciudadanos para que sepamos qué empresas y profesionales almacenan nuestros datos, tenemos derecho a ello y creo que siempre tienen que prevalecer los intereses de los ciudadanos por sobre los de las empresas.
Hemos de admitir que, en entornos digitales, y en especial en el mundo blogging, estamos acostumbrados a la opacidad, a la falta de transparencia, a utilizar la información de usuarios y suscriptores sin comunicar nada al respecto a los titulares de esa información.
¿Cuántos profesionales operan bajo un Nick o una marca comercial?
Ni siquiera sabemos dónde almacena nuestra información, si en Etiopía, China o Tombuctú y menos con quien comparte esa información.
El RGPD otorga a los ciudadanos mayores elementos de control sobre la información que le concierne y eso obliga a todo prestador, a desarrollar políticas informativas más claras y mecanismos para recabar el permiso con lo informado.
Obliga también a que esa información se presente:
- En un lenguaje claro y sencillo.
- De forma concisa, transparente, inteligible y de fácil acceso.
- Encontrando equilibrio entre concisión y precisión, evitando circunloquios, explicaciones innecesarias o detalles confusos.
- Evitando el abuso de citas legales innecesarias y términos ambiguos o con escaso sentido para las personas destinatarias.
-
No hace falta utilizar una primera capa informativa en cada formulario
Si bien no es obligatorio, la Agencia recomienda introducirlo como una buena práctica de transparencia y para evitar la remisión a textos legales.
Para hacer compatible la mayor exigencia de información que introduce el RGPD y la necesidad de claridad y concisión y comprensión en la forma de presentarla, se recomienda adoptar modelos de información por capas o niveles.
En la guía sobre el deber de informar publicado por la Agencia Española de Protección de datos, queda cristalina la recomendación de implantar un sistema de información por capas.
Por tanto, todo sistema de captura deberá contar con un check box para recabar el consentimiento, una primera capa informativa y una segunda capa ampliando esa información.
Para cerrar este soliloquio, decir que esos elementos son los que permiten a cualquier usuario, establecer puntos claros de identificación para diferenciar una página web que se presenta en modo cumplidor de otra que se presente en modo infractor, así de simple.
-
Para adaptar una web sólo basta poner el banner de cookies
No basta con un pop-up y no vale cualquier pop-up, además deberás disponer de un aviso legal y una política de cookies.
Esta creencia es la madre de otra muy peligrosa: "la parte legal de la web se resuelve con un plugin".
Como si un plugín pudiera auditar todas las funcionalidades de una web, los mecanismos de captura, establecer las finalidades del tratamiento, los tiempos de conservación, las herramientas utilizadas, etc.
Por otra parte, no basta con poner un banner o un pop.up que pilles por ahí.
La AEPD (Agencia Española de protección de datos) publicó una guía bastante polémica sobre la utilización de correcta de las cookies en una web.
Yo he preparado un post muy cristalino y clarinete con un resumen de lo que explica esa guía y explicado de forma más terrenal.
Y cuidado con hacerlo mal, he de decir que el 90% de las webs que visito actualmente son sancionables desde el punto de vista de las cookies y aquí no vale lo de mal de muchos…
No son pocos los referentes de notable estopa y reputación que sueltan ingentes cantidades de cookies a sus visitantes sin que estos tengan ninguna alternativa al respecto más que aceptarlas sumisamente.
Ikea y Vueling ya han sido fuertemente sancionadas justamente por descargar cookies aunque el visitante no haya aceptado expresamente su uso.
El consentimiento en ambos casos era implícito y no existía la opción de poder oponerse a la instalación de estas.
-
Es perfectamente legal mandar DM (mensajes privados) si soy el administrador de una fan page
Noticia falsa, Incierta y peligrosa.
Tener una fan page no significa que puedas establecer comunicaciones comerciales privadas con las personas que te siguen, dando por supuesto que si son seguidores tienes su consentimiento para mandarles información comercial.
Pues no, eso es mucho presuponer.
Ni en una fan page ni en tus perfiles de redes sociales, las comunicaciones comerciales electrónicas no solicitadas ni autorizadas están prohibidas por la LSSI (Ley de la sociedad de la información y el comercio electrónico).
La falsa creencia también es creer que lo que se haga en una red social, es responsabilidad de la red social y eso es incorrecto.
Tener una fan page no significa que puedas establecer comunicaciones comerciales privadas con las personas que te siguen, dando por supuesto que si son seguidores tienes su consentimiento para mandarles información comercial.
De hecho, pocos saben que desde el punto de vista legal, se considera tanto al administrador de una fan page en Facebook como al propio Facebook, responsables del tratamiento de los datos de los visitantes de la página, según el RGPD.
Así lo ha declarado el Tribunal de Justicia de la Unión Europea (Gran Sala) en la Sentencia de fecha 5 de junio de 2018 que entendía que el administrador de una página de fans alojada en esa red social contribuye al tratamiento de los datos personales de los visitantes de la página.
¿Quieres averiguar cuánto de ilegal es tu web?
Cómo la ignorancia es muy atrevida y peligrosa, he creado un test gratuito que calcula el porcentaje de ilegalidad de tu web que te invito a realizar.
Puede que te sorprendas.
¿Cómo puedo cumplir con el RGPD sin trampas ni mitos?
Es cierto que el RGPD exige mayores exigencias a profesionales y empresas.
Estas nuevas responsabilidades suponen a mi juicio más competitividad, una clara ventaja a la hora de consolidad el comercio digital.
Debemos perder el miedo a la transparencia, al compromiso con nuestros usuarios, perder el miedo a ofrecer garantías y avanzar a una cultura digital que propicie espacios respirables de confianza donde todos podamos operar con mayor tranquilidad.
No podemos ser profesionales digitales si no somos profesionales en la gestión responsable de la información personal, es algo inherente a nuestro trabajo.
Recuerda que la legalidad no es opcional y la confianza no se pide, se gana.